Orrick, Herrington & Sutcliffe, plaši pazīstams globāls advokātu birojs, kas ir atzīts par savu pieredzi datu pārkāpumu pārvaldībā, diemžēl ir kļuvis par kiberuzbrukumu upuri, nespējot pasargāt sevi un savus klientus no neredzētiem hakeru pretiniekiem. Kiberuzbrukums notika pagājušā gada sākumā, atklājot simtiem tūkstošu sensitīvo veselības informāciju, ko skāris datu pārkāpums.
Sanfrancisko juridiskais birojs pagājušajā nedēļā apstiprināja, ka hakeri 2023. gada martā ielaušanās laikā ir veiksmīgi nozaguši vairāk nekā sešsimt tūkstošu datu pārkāpuma upuru personas informāciju un sensitīvus veselības datus no tā tīklā esošās failu koplietošanas.
Pārkāpums ietvēra nesankcionētu piekļuvi ievainojamam faila koplietojumam, apdraudot 637 620 personu, tostarp klientu, darbinieku un to personu, kuras bija saistītas ar iepriekšējo datu pārkāpumu tiesvedību, personisko informāciju. Šis incidents, kas pazīstams ar savu ironisko pavērsienu, ne tikai atklāja personas datus, bet arī radīja nopietnas bažas par Orrick drošības praksi un kopējo kiberdrošības ainavu.
Orrick, kas parasti palīdz uzņēmumiem, kas saskaras ar drošības incidentiem, piemēram, datu pārkāpumiem, atzina pārkāpumu vairākās paziņojuma vēstulēs, kas nosūtītas skartajām personām. Hakeri bija nozaguši plašus datus no Orrick sistēmām, kas saistīti ar drošības incidentiem citos uzņēmumos, kuros Orriks sniedza juridiskas konsultācijas.
Sekas izraisīja ātru un visaptverošu Orrick reakciju, ietverot paziņojumus ietekmētajām personām un attiecīgajiem regulatoriem, iekšēju izmeklēšanu un papildu drošības pasākumu ieviešanu. Uzņēmums arī saskārās ar tiesvedību un publisku pārbaudi, klientiem apšaubot izvēlētā datu aizbildņa efektivitāti.
Orriks atklāja, ka pārkāptie dati ietvēra informāciju no klientiem, kuriem bija redzes plāni ar EyeMed Vision Care, zobārstniecības plāni ar Delta Dental, kā arī dati no veselības apdrošināšanas kompānijas MultiPlan, uzvedības veselības giganta Beacon Health Options (tagad zināma kā Carelon) un ASV mazā biznesa administrācija. Nozagtie dati ietvēra vārdus, dzimšanas datumus, adreses, e-pasta adreses, valsts izsniegtus identifikācijas numurus, medicīniskās aprūpes informāciju, informāciju par apdrošināšanas atlīdzībām, veselības aprūpes apdrošināšanas numurus, pakalpojumu sniedzēja datus, tiešsaistes konta akreditācijas datus un kredītkaršu vai debetkaršu numurus.
Sekas bija ievērojamas, nodarot kaitējumu Orrick reputācijai, kā rezultātā tika zaudēti darījumi un draudēja tiesas prāvas par nolaidību un neatbilstošu datu drošības praksi. Atbildot uz to, Orrick ir ieguldījis lielus līdzekļus kiberdrošības rīkos un personālā, ieviesis stingrāku datu piekļuves kontroli un pastiprinājis darbinieku apmācību. Uzņēmums ir arī iesaistījies pastāvīgā saziņā ar ietekmētajām personām un regulatoriem, sniedzot jaunāko informāciju par izmeklēšanu un piedāvājot sanācijas pakalpojumus.
Orrick datu pārkāpums kalpo kā brīdinājuma stāsts, uzsverot pastāvīgos kiberuzbrukumu draudus un pat labi resursētu organizāciju neaizsargātību. Tas uzsver stingras kiberdrošības prakses, nepārtrauktas modrības un skaidras komunikācijas nozīmi pēc šādiem notikumiem. Turklāt tas rada jautājumus par pašreizējo datu privātuma noteikumu efektivitāti un vajadzību pēc spēcīgākas personu aizsardzības digitālajā laikmetā.
Lai gan incidents neapšaubāmi būtiski ietekmēja Orika reputāciju, uzņēmuma pastāvīgie centieni novērst pārkāpumu un uzlabot drošības stāvokli liecina par apņemšanos mācīties no pieredzes un kļūt stiprākiem. Stāstījumam attīstoties, šī notikuma mācības, visticamāk, veidos to organizāciju praksi un politiku, kas orientējas arvien sarežģītākajā digitālajā vidē.
Decembrī Orriks informēja Sanfrancisko federālo tiesu, ka tā ir panākusi principiālu vienošanos, lai atrisinātu četras kolektīvās prasības, kurās Orriks tika apsūdzēts par to, ka viņš nav savlaicīgi informējis par pārkāpumu upurus. Orrick pārstāvis pauda gandarījumu par izlīgumu, uzsverot, ka joprojām tiek pievērsta uzmanība viņu sistēmu un klientu informācijas aizsardzībai.
“Mēs esam priecīgi panākt izlīgumu gada laikā pēc incidenta, kas noveda pie šī jautājuma izbeigšanas, un turpināsim koncentrēties uz mūsu sistēmu un mūsu klientu un mūsu uzņēmuma informācijas aizsardzību,” piebilda Orrick pārstāvis.
ddokuments
Tālāk ir sniegta informācija Orrick, Herrington & Sutcliffe LLP, kas iesniegta Maine Attorney General’s Office.
Paziņojumi par datu pārkāpumiem
Informācija par entītiju
- Organizācijas veids: Cits komerciāls
- Entītijas nosaukums: Orrick, Herrington & Sutcliffe LLP (atjaunināts)
- Ielas adrese: Hovarda iela 405
- Pilsēta: Sanfrancisko
- Štats vai valsts, ja ārpus ASV: CA
- Pasta indekss: 94105
Iesniedzis
- Vārds: Aravinds Svaminatans
- Nosaukums: Partneris
- Firmas nosaukums (ja atšķiras no entītijas):
- Telefona numurs: (206) 639-9157
- Epasta adrese: [email protected]
- Saistība ar entītiju, kuras informācija tika apdraudēta: Partneris
Informācija par pārkāpumu
- Kopējais skarto personu skaits (ieskaitot iedzīvotājus): 637 620
- Kopējais ietekmēto Maine iedzīvotāju skaits: 830
- Ja Meinas iedzīvotāju skaits pārsniedz 1000, vai patērētāju ziņošanas aģentūras ir informētas: Nē
- Pārkāpuma rašanās datums(-i): 28.02.2023
- Pārkāpuma atklāšanas datums: 13.03.2023
- Pārkāpuma apraksts:
- Ārējās sistēmas pārkāpums (uzlaušana)
- Iegūtā informācija — vārds vai cits personas identifikators kopā ar: Sociālās apdrošināšanas numurs
